2 セキュア・ターゲットの管理

ここでのトピック

• セキュア・ターゲットの管理について

• セキュア・ターゲットの設定の表示および変更

• セキュア・ターゲット・グループの作成および変更

• セキュア・ターゲット・データベースのコンプライアンスの管理

• セキュア・ターゲットおよびグループのアクセス権の設定

セキュア・ターゲットの管理について

セキュア・ターゲットはOracle AVDF管理者によって作成されます。セキュア・ターゲットは、監査データを取得しようとするデータベースまたは他のサポート対象監査ソースごとに作成されます。また、データベース・ファイアウォールで監視するデータベースに対しても作成されます。

監査者は、スーパー監査者からアクセス権を付与されたセキュア・ターゲットのデータを表示できます。

Audit Vault Serverコンソールの「セキュア・ターゲット」タブを使用して、アクセスできるセキュア・ターゲットを次のように制御できます。

• セキュア・ターゲットのリストを表示およびソートします。「UIでのオブジェクト・リストの使用」を参照してください。

• 各セキュア・ターゲットの次の項目を表示、変更またはアクセスします。

  • 監査証跡

  • 強制ポイント

  • ファイアウォール・ポリシー

  • 監査ポリシー(Oracleデータベースのみ)

  • ユーザー権限(Oracleデータベースのみ)

  • ストアド・プロシージャ監査(SPA)

  • 保存ポリシー

• セキュア・ターゲット・グループを作成または変更します。

• 権限スナップショットおよびラベルを管理します。

セキュア・ターゲットの設定の表示および変更

ここでのトピック

• 監査証跡リストの表示

• 強制ポイント・リストの表示

• ファイアウォール・ポリシーの選択

• Oracleデータベースの監査ポリシー設定の表示

• Oracle Databaseセキュア・ターゲットのユーザー権限データの取得

• ストアド・プロシージャ監査のアクティブ化

• データ保存(アーカイブ)ポリシーの設定

監査証跡リストの表示

Oracle AVDFの管理者が、監査証跡を開始して終了します。監査者は、アクセスできるセキュア・ターゲットの監査証跡のリストを表示できます。1つのセキュア・ターゲットまたはすべてのセキュア・ターゲットで収集された証跡を表示できます。

• 1つのセキュア・ターゲットの監査証跡リストの表示

• すべてのセキュア・ターゲットの監査証跡リストの表示

1つのセキュア・ターゲットの監査証跡リストの表示

1つのセキュア・ターゲットの監査証跡を表示するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. リストからセキュア・ターゲットを選択します。

   リスト表示は「アクション」メニューで調整できます。「UIでのオブジェクト・リストの使用」を参照してください。

3. 矢印をクリックして、そのセキュア・ターゲットの「監査証跡」セクションを展開します。

   そのセキュア・ターゲットの監査証跡が表に表示され、証跡、ステータス、証跡タイプ、および証跡が収集されたホストが示されます。

4. 列タイトルの上矢印または下矢印をクリックすると、その列によってソートすることもできます(昇順または降順)。

すべてのセキュア・ターゲットの監査証跡リストの表示

すべてのセキュア・ターゲットの監査証跡リストを表示するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「設定」タブまたは「セキュア・ターゲット」タブをクリックします。

2. 「クイック・リンク」メニューで、「監査証跡」をクリックします。

   すべてのセキュア・ターゲットの監査証跡が表に表示され、証跡、ステータス、セキュア・ターゲットの名前とタイプ、証跡が収集されたホスト、および証跡の場所とタイプが示されます。

   リスト表示は「アクション」メニューで調整できます。「UIでのオブジェクト・リストの使用」を参照してください。

3. 列タイトルをクリックして、その列でソートすることもできます。

強制ポイント・リストの表示

Oracle AVDF管理者は、データベース・ファイアウォールによって監視されるデータベース・セキュア・ターゲットの強制ポイントを作成します。監査者は、アクセス権があるデータベース・セキュア・ターゲットに構成された強制ポイントを表示できます。1つのセキュア・ターゲットまたはすべてのセキュア・ターゲットの強制ポイントを表示できます。

• 1つのデータベース・セキュア・ターゲットの強制ポイント・リストの表示

• すべてのセキュア・ターゲット・データベースの強制ポイント・リストの表示

1つのデータベース・セキュア・ターゲットの強制ポイント・リストの表示

1つのデータベース・セキュア・ターゲットの強制ポイントを表示するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. 「セキュア・ターゲット」リストからセキュア・ターゲットを選択します。

3. 矢印をクリックして、そのセキュア・ターゲットの「強制ポイント」セクションを展開します。セキュア・ターゲットがデータベースでない場合、このセクションは表示されません。

4. 詳細を表示する強制ポイントの名前をクリックします。

すべてのセキュア・ターゲット・データベースの強制ポイント・リストの表示

すべてのデータベース・セキュア・ターゲットに構成されている強制ポイントを表示するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「設定」タブまたは「セキュア・ターゲット」タブをクリックします。

2. 「クイック・リンク」メニューで、「強制ポイント」をクリックします。

3. 詳細を表示する強制ポイントの名前をクリックします。

ファイアウォール・ポリシーの選択

セキュア・ターゲットがDatabase Firewallによって監視されるデータベースの場合、そのセキュア・ターゲットに割り当てられているファイアウォール・ポリシーをアップロードまたは変更できます。

データベース・セキュア・ターゲットのファイアウォール・ポリシーを設定または変更するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. リストからセキュア・ターゲットを選択します。

3. 矢印をクリックして、そのセキュア・ターゲットの「ファイアウォール・ポリシー」セクションを展開します。

   このセキュア・ターゲットに設定されているファイアウォール・ポリシーが表示されます。

   (セキュア・ターゲットがデータベースでない場合、「ファイアウォール・ポリシー」セクションは表示されません。)

4. ファイアウォール・ポリシーを変更するには、「変更」をクリックし、ドロップダウン・リストから別のポリシーを選択して、「保存」をクリックします。

   ドロップダウン・リストには、事前にロードされたファイアウォール・ポリシーと監査者が作成したファイアウォール・ポリシーが含まれます。

ファイアウォール・ポリシーの詳細は、「Database Firewallポリシーの作成」を参照してください。

Oracleデータベースの監査ポリシー設定の表示

Oracleデータベースの監査ポリシー設定は「セキュア・ターゲット」タブに表示できます。

「セキュア・ターゲット」ページでOracleデータベースの監査ポリシー設定を表示するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. リストからセキュア・ターゲットを選択します。

3. 矢印をクリックして、そのセキュア・ターゲットの「監査ポリシー」セクションを展開します。セキュア・ターゲットがOracleデータベースでない場合、「監査ポリシー」セクションは表示されません。

   「監査設定の取得」ボタンを使用すると、現時点でのこのOracle Databaseの監査設定を取得できます。「Oracleデータベースの監査設定の取得」を参照してください。

   このセキュア・ターゲットの監査ポリシーが表に表示され、監査タイプ、使用中の設定の数、必要な数、およびフラグが示されている問題の数が示されます。各監査タイプのリンクをクリックして「監査設定」ページ(「ポリシー」タブ)に移動し、そこから設定を変更できます。「必要な監査設定の指定」を参照してください。

監査ポリシーの詳細は、「Oracleデータベースの監査ポリシーの作成」を参照してください。

Oracle Databaseセキュア・ターゲットのユーザー権限データの取得

Oracle Databaseセキュア・ターゲットのユーザー権限データを取得すると、その時点のデータのスナップショットが、以前に取得された権限スナップショットに追加されます。そこで、スナップショットにラベルを付けて整理し、異なるスナップショットまたはラベルの権限データを比較できます。「権限スナップショットおよびラベルの使用」を参照してください。

セキュア・ターゲットの権限データを取得するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. リストからセキュア・ターゲットを選択します。

3. 矢印をクリックして、そのセキュア・ターゲットの「ユーザー権限」セクションを展開します。

   権限データが最後に取得されたときのタイムスタンプが表示されます(該当する場合)。

4. 「ユーザー・エンタイトルメント・データの取得」をクリックします。

   確認のメッセージが表示されます。

「設定」タブの「ジョブ」をクリックすると、権限取得のステータスを確認できます。

ストアド・プロシージャ監査のアクティブ化

Oracle AVDFレポートでセキュア・ターゲットのストアド・プロシージャの変更を監査できます(「ストアド・プロシージャ監査レポート」を参照)。データベース・セキュア・ターゲットについてこのデータを表示するには、セキュア・ターゲットのストアド・プロシージャ監査をアクティブ化する必要があります。

セキュア・ターゲットのストアド・プロシージャ監査をアクティブ化するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインします。

2. 「セキュア・ターゲット」タブをクリックし、必要なセキュア・ターゲットの名前をクリックします。

3. 下にスクロールして、「ストアド・プロシージャ監査」セクションを展開します。

4. 「ストアド・プロシージャ監査のアクティブ化」を選択します。

   
   「spa_enable.gif」の説明
   
   

5. 次のフィールドを設定します。

   • 初回実行時間: このデータベースでストアド・プロシージャ監査を最初に実行する日付と時刻を選択します。

   • 繰返し間隔: このデータベースのストアド・プロシージャ監査を繰り返す頻度を選択します。

6. 「保存」をクリックします。

注意: セキュア・ターゲット・データベースからストアド・プロシージャの変更を収集するために、Oracle AVDF管理者は、そのデータベースの正しいユーザー権限を設定するスクリプトを実行する必要があります。詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

データ保存(アーカイブ)ポリシーの設定

セキュア・ターゲットのデータ保存ポリシーによって、そのターゲットの監査データが保存される期間が決まります。Oracle AVDF管理者が保存ポリシーを作成し、監査者はそれらのポリシーから1つを選択してセキュア・ターゲットに割り当てます。

セキュア・ターゲットに対して保存ポリシーを選択しなかった場合、デフォルトの保存ポリシーが使用されます(12か月のオンライン保存およびパージ前に12か月のアーカイブ)。

新しい保存ポリシーは、ポリシーを選択する日付の時点で有効になりますが、既存のデータには適用されません。

セキュア・ターゲットの保存ポリシーを設定するには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. リストからセキュア・ターゲットを選択します。

3. 矢印をクリックして、そのセキュア・ターゲットの「保存ポリシー」セクションを展開します。

   現在の保存ポリシーが表示されます(設定されている場合)。

4. 保存ポリシーを設定または変更するには、「変更」をクリックして、使用可能な保存ポリシーを選択します。

5. 「保存」をクリックします。

保存(アーカイブ)ポリシーの構成の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

セキュア・ターゲット・グループの作成および変更

ここでのトピック

• セキュア・ターゲット・グループについて

• セキュア・ターゲット・グループの作成および変更

セキュア・ターゲット・グループについて

スーパー監査者は、個々のセキュア・ターゲットではなくグループとしてのアクセス権を監査者に付与するために、セキュア・ターゲットをグループに編成することができます。

Oracle AVDFでは、HIPAAまたはDPAなどコンプライアンスに関連した一連の事前構成済ユーザー・グループが提供されます。そのようなグループにセキュア・ターゲットを追加して、それらのデータベースに関連する特定のコンプライアンス・レポートを生成できます。

セキュア・ターゲット・グループの作成および変更

スーパー監査者は、他の管理者にセキュア・ターゲットのアクセス権を個別ではなくグループとして付与するために、セキュア・ターゲット・グループを作成できます。

セキュア・ターゲット・グループを作成するには、次のようにします。 

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. 左側の「管理」メニューで「グループ」をクリックします。

   事前構成済グループが下のペインに表示され、ユーザー定義グループが上のペインに表示されます。

   下のペインのリスト表示は「アクション」メニューで調整できます。「UIでのオブジェクト・リストの使用」を参照してください。

3. 「作成」をクリックし、グループの名前と説明(オプション)を入力します。

4. セキュア・ターゲットをグループに追加するには、セキュア・ターゲットを選択し、「メンバーの追加」をクリックします。

5. 「保存」をクリックします。

   「グループ」ページの上のペインに新しいグループが表示されます。

セキュア・ターゲット・グループを変更するには、次のようにします。 

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. 左側の「管理」メニューで「グループ」をクリックします。

   事前構成済グループが下のペインに表示され、ユーザー定義グループが上のペインに表示されます。

   下のペインのリスト表示は「アクション」メニューで調整できます。「UIでのオブジェクト・リストの使用」を参照してください。

3. グループ名をクリックします。

4. 「セキュア・ターゲット・グループの変更」ページで、追加または削除するセキュア・ターゲットを選択してから、「メンバーの追加」または「メンバーの削除」をクリックします。

5. ユーザー定義グループの名前または説明を変更することもできます。

6. 「保存」をクリックします。

セキュア・ターゲット・データベースのコンプライアンスの管理

セキュア・ターゲット・データベースについて正しいコンプライアンス・レポートが確実に生成されるようにするには、適切な事前構成済グループにそれらのセキュア・ターゲットを追加します。コンプライアンス・レポートの詳細は、「コンプライアンス・レポートの説明」を参照してください。

セキュア・ターゲットをコンプライアンス・グループに割り当てるには、次のようにします。

1. Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。

2. 「管理」メニューで「グループ」をクリックします。

   「グループ」ページが表示され、ユーザー定義グループと事前構成済セキュア・ターゲット・グループが示されます。

3. 「事前構成済のセキュア・ターゲット・グループ」セクションでコンプライアンス・グループをクリックします。たとえば、HIPAAを選択します。

4. 「セキュア・ターゲット・グループの変更」ページで、このコンプライアンス・グループに追加するセキュア・ターゲットを選択してから、「メンバーの追加」をクリックします。

5. コンプライアンス・グループからセキュア・ターゲット・データベースを削除するには、セキュア・ターゲットを選択してから、「メンバーの削除」をクリックします。

6. 「保存」をクリックします。

セキュア・ターゲットおよびグループのアクセス権の設定

Oracle AVDFのスーパー監査者ロールがある場合は、セキュア・ターゲットおよびグループのアクセス権を設定できます。特定のセキュア・ターゲットまたはグループのアクセス権を付与された監査者のみが、セキュア・ターゲットやグループまたは関連するデータを表示できます。セキュア・ターゲットまたはグループごと、またはユーザーごとにアクセス権を管理できます。

手順は、「ユーザー・アカウントおよびアクセスの管理」を参照してください。